1 引言 
  随着移动互联网的迅猛发展以及移动数据业务快速增长,移动互联网流量激增。据预测,到2014年,移动用户平均每月消耗7GB的流量。从现在到2017年,全球移动数据流量将以66%的平均年增长率递增,届时全球移动数据总流量将达到134EB,大约是2010年移动数据总流量的46倍。Wi-Fi网络被认为是解决移动数据网络拥塞的最主要的候选方案。Wi-Fi分流实现从2G/3G/LTE网络转移移动流量到Wi-Fi网络功能,是一个非常有前景的技术。 
2 Wi-Fi分流体系架构 
  Wi-Fi分流的技术和架构一直以来为3GPP标准组织所关注,并分别提出了针对3G/4G的协议标准和推荐的分流方案。在实际的工程应用中,也出现了各种各样的尝试和探索。 
  在实际的工程部署中,为了达到与现网已有设备的兼容以及最大限度地不改动现网设备,一般都会对协议推荐的标准分流方案进行小范围改动,以满足具体的应用诉求,下面将分别进行说明。需要注意的是,由于篇幅所限,本文主要对2G/3G移动通信网络中采用的分流技术进行系统的分析和研究。 
2.1 协议定义的分流架构 
  3GPP TS 23.234中定义的本地非漫游Wi-Fi分流架构如图1所示。 


  从图1可以看出,为了实现Wi-Fi分流,在移动通信网核心网侧引入了WAG(WLAN Aceess Gateway,WLAN接入网关)和PDG(Package Data Gateway,分组数据网关),即图1中的阴影部分,实现用户从WLAN(Wireless Local Area Networks,无线局域网)接入到移动通信网络,从而分流2G/3G无线侧的流量压力。 
  在这个Wi-Fi分流架构方案中,移动用户漫游或者切换到WLAN网络后,经由WLAN接入网的AC(Access Controler,接入控制器)或者BRAS(Broadband Remote Access Server,宽带接入服务器)通过Wa口到AAA(Authentication、Authorization and Accounting,认证、授权和计费服务器)/HLR(Home Location Register,归属位置寄存器)/HSS(Home Subscriber Server,归属签约服务器)进行认证,认证完成后用户即可通过本地的AC或者BRAS访问Intranet/Internet,而可选地再经由WAG/PDG访问Intranet/Internet。在WLAN中接入的移动用户,只有在访问移动通信网络的自营业务时才必须要经过WAG/PDG。 
2.2 本文研究的分流架构 
  本文研究的工程应用中部署的Wi-Fi分流架构如图2所示。 


  从图2可以看出,相对协议推荐的分流方案增加了Portal Server网元,合一了WAG与PDG网元,即图2中的阴影部分,并在原来3GPP AAA Server的网元上叠加了WLAN AAA Server,用于移动用户在WLAN的接入的认证、授权和计费等功能。 
  之所以会出现这种模式,主要是因为移动用户漫游或者切换到WLAN网络后,由于终端不支持3GPP协议定义的标准鉴权方法(EAP-SIM/EAP-AKA),而继续采用原WLAN网络中常用的认证授权方法(如PAP/CHAP),即用户感应到Wi-Fi信号或者切换到WLAN覆盖区后,通过Portal Server主动推送的网页获取一临时密码,然后再到WLAN AAA Server进行认证/授权,成功后即可由WLAN的AC/BRAS直接出局访问Intranet/Internet。

   在AC/BRAS直接出局模式下,用户的计费信息由WLAN AAA Server收集后交给BOSS(Business & Operation Support System,业务操作支撑系统);在WAG/PDG出局模式下,计费信息由本地WAG/PDG收集,然后再通过CG(Charging Gateway,计费网关)上传给BOSS。即由BOSS完成移动用户在WLAN直接出局或者经过WAG/PDG出局时计费信息的统一处理、统一计费。 
  图2所给出的模式最大程度地兼容了以下3种移动用户Wi-Fi分流上网场景: 
  场景1:移动用户漫游到WLAN,但终端不支持协议推荐的分流方案中的鉴权方法(EAP-SIM/EAP-AKA),只支持简单的WLAN接入的鉴权方法(如PAP/CHAP等),则用户在WLAN AAA Server完成鉴权后,通过WLAN AC的方式直接出局; 
  场景2:移动用户漫游到WLAN,终端支持协议推荐的分流方案中的鉴权方法(EAP-SIM/EAP-AKA),用户经Wa口到3GPP AAA Server鉴权完成后,通过WLAN AC的方式直接出局; 
  场景3:移动用户漫游到WLAN,终端支持协议推荐的分流方案中的鉴权方法(EAP-SIM/EAP-AKA),用户经Wa/Wm口到3GPP AAA Server鉴权完成后,选择通过WAG/PDG出局。 
  场景1在实际应用中是经常出现的,因为采用协议推荐的分流方案,需要终端支持EAP-SIM/EAP-AKA方法,这是目前绝大部分终端所没有的能力,而运营商也不可能强制要求用户购买新的终端。本文研究的分流方案是目前移动通信系统中广泛采用的方案。 
3 Wi-Fi分流技术中的鉴权方法研究 
3.1 协议定义的Wi-Fi分流中的鉴权方法 
  3GPP标准规范定义的Wi-Fi分流方案中,基于Wa/Wm口的鉴权方法是EAP-SIM或者EAP-AKA。这2种鉴权方法在流程上是相似的,区别在于EAP-SIM用于2G SIM卡的鉴权,而EAP-AKA用于3G SIM/USIM卡的鉴权。EAP-SIM定义于RFC 4186;EAP-AKA定义于RFC 4187,本文不再赘述。 
3.2 本文研究的鉴权方法EAP-MS CHAPv2 
  协议定义的鉴权方法EAP-SIM或者EAP-AKA都需要终端支持,但在实际应用中存在一定的难度,因为大部分现有2G/3G终端不支持这2种鉴权方法。故在实际的工程部署中,3GPP AAA Server上一般都会叠加WLAN AAA Server的逻辑功能,用于支持终端不支持EAP-SIM或者EAP-AKA鉴权方法时的认证授权处理。 
  WLAN AAA Server常用的鉴权方法有PAP、CHAP、EAP-MSCHAPv2等方法。其中,PAP是常规的用户名/密码校验方式,实际使用中安全性较差,容易被破解;CHAP是增强的用户名/密码校验方式,在校验的过程中增加了挑战字,比PAP的安全性要高,这个也是现有WLAN网络中常用的鉴权方法;EAP-MSCHAPv2是基于EAP的用户名/密码校验方式,在校验的过程中增加了挑战字、服务端名以及用户端名的校验,具备了更高的安全性,也是本文研究的重点鉴权方法。EAP-MSCHAPv2鉴权流程如图3所示。 


  流程说明具体如下: 
  步骤1:WLAN接入网关与终端基于EAP进行交互,获取到用户的标示(即Identity),然后向AAA发送认证请求消息; 
  步骤2:AAA收到认证请求消息; 
  步骤3:AAA解析EAP响应得到用户的标示; 
  步骤4:AAA根据所支持算法的优先级选择EAP-MSCHAPv2; 
  步骤5:AAA发送接入挑战,携带EAP-MSCHAPv2挑战消息,消息携带challenge-id、auth-challenge、name字段,Name部分填充为“WLAN AAA Server”或者其它预定义的值; 
  步骤6:EAP消息经接入网关转发至终端,经处理后发送EAP-Response; 
  步骤7:AAA收到来自接入网关的请求报文,解析EAP-MSCHAPv2响应消息,其中含有challenge-id、peer-challenge、NT-Response、username等; 
  步骤8:AAA利用auth-challenge、peer-challenge、username、userpassword等计算expect-NT-Response; 
  步骤9:AAA比较收到的NT-Response和计算的expect-NT-Response相匹配; 
  步骤10:AAA计算auth-Response,发送认证挑战携带EAP-MSCHAPv2请求成功消息,消息含challenge-id及Message字段,后者含有计算出来的auth-Response; 
  步骤11:终端校验成功请求消息中的auth-Response通过,发送空的EAP-MSCHAPv2成功响应消息; 
  步骤12:AAA收到成功响应消息后,EAP-MSCHAPv2流程结束,发送认证接受消息; 
  步骤13:WLAN接入网关基于EAP发送EAP成功到终端,用户鉴权成功完成。 
  3.3 鉴权方法比较分析 
  上述2种类型鉴权方法比较如表1所示。 


  总结:这2种类型的鉴权方法各有优缺点,考虑现阶段的移动通信网络环境以及终端能力、工程部署等因素,选择PAP/CHAP/EAP-PEAP/EAP-MSCHAPv2等鉴权方法进行Wi-Fi分流是适宜的。不过,随着影响因素的变化以及终端支持能力的提高,过渡到协议定义的EAP-SIM/EAP-AKA无感知认证方法也是可以预见的。

4 Wi-Fi分流流程介绍 
  针对2.2节中Wi-Fi分流的应用场景1,对Wi-Fi分流的整体流程进行简单介绍。场景1下的流程如图4所示。 


  流程说明具体如下: 
  步骤1/步骤2:WLAN接入网与终端基于EAP进行交互,获取到用户的标示(即Identity); 
  步骤3:AC/BRAS向AAA发送认证请求消息; 
  步骤4:AAA解析认证请求消息得到用户的标示,并根据用户所支持算法的优先级选择EAP-MSCHAPv2进行认证,认证通过(认证具体过程可参考3.2节中的说明)则向AC/BRAS发送认证接受消息授权用户接入网络; 
  步骤5/步骤6:WLAN接入网在本地根据DHCP Server或者本地策略为用户分配本地IP地址,并发送EAP成功消息到终端,用户授权过程完成; 
  步骤7:用户开始经由AC/BRAS访问Internet; 
  步骤8:AC/BRAS在用户访问Internet期间,把产生的计费信息等通过计费消息发给3GPP+WLAN AAA Server; 
  步骤9:AAA把生成的WLAN计费话单文件传送给BOSS。 
  由于篇幅所限,对场景2和场景3的流程不再进行详细说明。场景2的流程大致与场景1类似,不同的是在步骤3和步骤4采用的是EAP-SIM/EAP-AKA鉴权方法,并且3GPP+WLAN AAA Server需要与HLR通过MAP(Mobile Application Protocol,移动应用协议)信令交互获取用户鉴权和授权信息(过程可参考3.1节);场景3的流程与场景2相似,但比场景2多了一次来自WAG/PDG的认证授权过程,且计费消息是由WAG/PDG经计费网关发送给BOSS汇总处理。 


5 结束语 
  本文研究了2G/3G移动通信网络中利用Wi-Fi进行流量分担的系统和方法,重点介绍了3GPP协议定义的Wi-Fi分流架构和鉴权方法以及实际工程部署采用的分流架构和鉴权方法,并对这2种分流架构和鉴权方法进行了分析说明。为了便于理解,最后还给出了指定场景下用户通过Wi-Fi分流的认证/授权/计费完整流程。但是由于篇幅所限,本文没有分析Wi-Fi分流技术中针对高流量用户的分流方法[10],也没有分析4G(LTE)技术中的Wi-Fi分流架构和无线侧分流的技术原理等内容,这些可以作为下一步分析和研究的方向。 

作者简介:

讲师,硕士,现任职于南京邮电大学电子科学与工程学院,主要研究方向为移动通信、复杂系统与云计算。